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Priifungsantrag gem. 5 44 PatG ist gestellt 

@ Sicherheitsgerichtete speichergrogrammierbare Steuerung 

@ Mit der Erfindung wird vorgeschlagen, eine Standard-SPS 
(1) durch Erganzungen zu einer sicherheitsgerichteten SPS 
zu ertuchtigen. Zu den Erganzungen gehoren spezielle 
sicherheitsgerichtete E/A-Gerate (7), die intern zweikanalig 
aufgebaut sind und selbsttatig sowohi elnen Vergleichstest 
zwischen ihren Kanalen als auch zusatzliche Eigenuberwa- 
chungsfunktionen durchfiihren. Als weitare Erganzung sind 
sicherheitsgerichtete Programnn-Moduie im Anwenderpro- 
gramm der Zentraleinheit (2) der SPS (1) vorhanden, die eine 
redundante Uberwachung der sicherheitsgerichteten E/A- 
Gerate (7) und eine Eigenuberwachung der Zentraleinheit (2) 
vornehnrien. Ote so gebildete sicherheitsgerichtete SPS ist 
geeignet zur Steuerung von Prozessen, die durch Abschalten 
in einen sicheren Zustand gebracht werden konnen. 
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Die folgenden Angaben sind den vom Anmelder eingereichten Unterlagen entnommen 
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Die Erfindung bezieht sich auf eine speicherprogram- 
mierbare Steuerung, die ais sicherheitsgerichtete Steue- 
rung ausgefuhrt isL Solche. auch als fehlersichere Steue- 
rungen bezeichnete Sicherheitssysteme finden im Rah- 
men von ProzeBanlagen Anwendung. 

Es sind mehrere unterschiedliche Konzepte bekannt, 
mit denen Anforderungen an sicherheitsgerichtete 
Steuerungen entsprochen werden kann. Neben sicher- 
heitstechnischen Anfordeningen konnen mit soichen 
Konzepten auch Anforderungen an die Verfugbarkeit 
der Steuerungen erfullt werden. 

In Energie und Automation 12 (1990). Heft 5/6, Seite 8 
bis 11 ist eine fehlersichere Steuerung beschrieberi/die 
aus zwei voilstandigen Standard-Automatisierungssy- 
stemen auf gebaut ist, und die hauptsachlich software- 
maBige- Erganzungen enthait Der daraus bekannte 
prinzipielle Aufbau eines zweikanaligen Sicherheitssy- 
stems ist in Fig. 2 am Beispiel einer Anordnung mit 
einem bindren Ausgang gezeigt. Man erkennt. daB bei 
einem soichen Konzept eine zu steuemde Last L uber 
mehrere Leitungen D mit Ein- und Ausgabegerite I, O 
der beiden Automatisierungssysteme A, B angeschlos- 
sen ist 

Die Zentraleinheiten C der beiden Systeme A, B sind 
miteinander gekoppelt 

Die vorgenannte Druckschrift enthalt auch ein Ver- 
zeichnis mit Literaturquellen, denen die hier relevanten 
Begriffe aus der Sicherheitstechnik sowie deren Defini- 
tion zu entnehmen sind 

Ein anderes Konzept ist aus der iSruckschrift der^Fa. 
Pepperl + Fuchs "FSC-System. Fail Safe Control Sy- 
stem", Bestell-Nr. 16361 vom August 1991 bekanht. Das 
dort beschriebene System FSC-101 ist ein einkanaliges 
System, das beziiglich verschiedener Verfugbarkeitsstu- 
fen ausbaufahig ist Das Grundsystem FSC-101 ist ein 
speziell als Sicherheitssystem entwickeltes Automatisie- 
rungssystem, dessen samtliche Baugruppen als sicher- 
heitsgerichtete Schaltkreise aufgebaut sind GegenOber 
einer Standard-SPS sind auBerdem zus^tzliche Module 
vorhanden, die allein im Hinblick auf sicherheiugerich- 
tete Systemeigenschaften erforderlich sind 

Den bekannten ein- oder zweikanaligen Sicherheits- 
systemen ist gemeinsam, daB sie einen hohen Gerate- 
aufwand erfordern und relativ langsam arbeiten. 

Die Erfindung bezieht sich auf Anwendungsf^le. in 
denen nur ein Teil der an das Steuerungssystem ange- 
schlossenen Prozesse fehlersicher zu steuern sind und 
wobei diese Prozesse durch Abschalten in einen siche- 
ren Zustand zu bringen sind. Solche Anwendungen sind 
z. B. gegeben bei Krananlagen, Feuerungsanlagen und 
Uberwachungsanlagen. Es soli also ein sicherheitsge- 
richtetes, speicherprogrammierbares Steuerungssystem 
geschaffen werden. das nicht fur Prozesse geeignet zu 
sein braucht, bei denen der sichere Zustand nicht durch 
Abschalten erreicht werden kann und bei denen es auf 
eine erhohte Verfugbarkeit ankommt 

Diese Aufgabe wird gelost durch' eine im Patentan- 
spruch 1 angegebene speicherprogrammierbare Steue- 
rung mit nur einer Zentraleinheit und mehreren uber 
wenigstens einen Buskoppler und wenigstens einen Ein- 
gabe/Ausgabe{E/A)-Bus anschlieBbaren E/A-Geraten, 
wobei alle diese Komponenten Bestandteiie einer ein- 
kanaligen Standard-SPS sind, und wobei die SPS durch 
nachstehende Erganzungen zu einer sicherheitsgerich- 
teten SPS ertuchtigt ist: 
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a) an den E/A-Bus sind spezielle sicherheitsgerich- 
tete E/A-Gerate anschlieBbar, die intern zweikana- 
lig aufgebaut sind und selbsttatig einen Vergleich- 
stest zwischen ihren Kantlen sowie zusatzliche Ei- 
gentests durchfuhren, und 

b) die Zentraleinheit ist allein durch sicherheitsge- 
richtete Programm- Module erganzt zur DurchfQh- 
rung sicherheitsgerichteter Funkuonen. die sich auf 
sicherheitsgerichtete Anwenderfunktionen und zu- 
mindest auf eine zur Eigeniiberwachung der sicher- 
heitsgerichteten E/A-Gerate redundante Oberwa- 
chung der sicherheitsgerichteten E/A-Gerlte be- 
ziehen, sowie auf eine Selbstuberwachung der Zen- 
traleinheit 



Das mit der erfindungsgemaBen Steuerung vorge- 
stellte Konzept hat den Vorteil. daB auch eine schon 
vorhandene Standard-SPS nachtraglich zur sicherheits- 
gerichteten speicherprogrammierbaren Steuerung er- 
20 tuchugt werden kann. Der nach auflen hin einkanalige 
Aufbau erfordert keine besondere AuBenverdrahtung. 
Durch die systemgemaBe dezentrale Intelligenz wird 
erreicht daB nur fur den AnschluB der sicherheitsrele- 
vanten Prozesse ein gegenuber Standard-Steuerungen 
25 erhohter Aufwand notwendig ist Die Anforderungen 
nach DIN V VDE 801 Anforderungsklasse 4 werden 
erfullt - . -r... . ' ' ' , - 

Ausgestaltungen sind weiteren PatentansprQchen 
und der nachstehenden Beschreibung eines Ausfuh- 
30 rungsbeispiels zu entnehmen. 

.. -rfe- f-Fig- 1 zeigt eine.erfindungsgemaBe sicherheitsgerich- ' 
tete SPS mit einkanaliger Systemstruktur. Diese ist auf- 
gebaut aus einer Standard-SPS 1 mit einer Zentralein- 
heit 2. die spezielle gespeicherte Programm-Module mit 
35 sicherheitsgerichteten Funktionen enthalt und die mh 
Hilfe eines an eine Schnittstelle 8 anschlieBbaren Perso- 
nal Computers 3 eingebbar sind. Die Standard-SPS ent- 
halt wenigstens einen Buskoppler 4. an den ein E/A-Bus 
5 angeschlossen ist Der E/A-Bus ist im Ausfiihrungsbei- 
40 spiel eine Zweidraht-Kommunikationsverbindung. An 
den E/A-Bus 5 sind sowohl Standard-E/A-Gerate 6 als 
auch sicherheitsgerichtete E/A-Gerate 7 anschlieBbar. 
Die sicherheitsgerichteten E/A-Gerate 7 sind intern 
zweikanalig aufgebaut Sicherheitsgerichtete Funktio- 
45 nen sind redundant Qberwacht. namlich einmal durch 
SelbstUberwachungsmaBnahmen in den E/A-Geraten 7 
und durch Funktionsuberwachung von der Zentrale 2 
aus. Der Informationsaustausch zwischen E/A-Geraten 
7 und der Zentrale 2 erfolgt unter Verwendung eines 
50 Sicherheitsprotokolls. 

In den intern zweikanalig aufgebauten. sicherheitsge- 
richteten E/A-Geraten 7 wird durch Vergleichstests 
zwischen den beiden Kanaien, Selbsttests und Plausibili- 
tatstest die erforderliche Sicherheit erreicht Bei fehlen- 
55 der Ubereinstimmung wird eine Ausgabe eines Schalt- 
befehls gesperrt Daruber hinaus wird eine Fehlerdia- 

Siose durch Oberwachung auf Drahtbruch, KurzschluB, 
berspannung, Bereichsuberschreitung und weitere 
Fehlerarten durchgefiihrt 
60 In einer ausgefuhrten sicherheitsgerichteten SPS 
wird innerhalb einer spezifizierten Fehlertoleranzzeit 
von 100 Millisekunden jeder gefahriiche Fehler erkannt 
und es wird eine Abschaltung in den sicheren Zustand 
durchgefuhrt 

65 Jeder einzeln an sich ungefahrliche Fehler wird inner- 
halb einer Zweitfehlereintrittszeit von einer Stunde er- 
kannt Es wird dabei unterstellt daB in dieser Zeit kein 
zweiter Fehler auftreten kann. der die Erkennung des 
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Fehlers verhindert 
Das Anwenderprogramm der Zentraleinheit enthait 

ein Programm-Modul das ausschlieBlich sicherheitsge- 

richtete Funktionen einschlieBlich der Oberwachung 

der E/A-Gerate 7 bearbeitet. In diesem Programm-Mo- 5 

dul werden nur Sicherheits-VerknQpfungselemente ver- 

wendet, die durch hochwertige MaBnahmen, z. B. durch 

redundante, diversitare Programmierung gesichert sind 

AuBerdem werden Sicherheitsanforderungen an die 

Zentraleinheit durch eine besondere Behandlung sicher- 10 

heitsrelevanter Betriebssystemaufrufe und durch 

Selbsttests erfiillt 

Mit der Verwendung von Sicherheits-Verknupfungs- 

elementen wird erreichtj,daB,jdie Programmierung vom 
Anwender in ubiicher Weise. also wie b'ei 'eirier nicht 15 
sicherheitsgerichteten SPS, einfach ausgehend vom 
Funktionspian. vorgenommen werden kann. 

Da im Gesamtsystem sicherheits- und nicht sicher- 
heitsgerichtete Systemkomponenten eingesetzt sind, 
muB eine Riickwirkungsfreiheit der nicht sicherheitsge- 20 
richteten Komponenten gegeben sein. 

Patentanspriiche 

1. Speicherprogrammierbare Steuerung (SPS) mit 25 
nur einer Zentraleinheit (2) und mehreren iiber we- 
nigstens einen Buskoppler (4) und wenigstens einen 
Eingabe/Ausgabe(E/A)-Bus (5) anschlieBbaren 
E/A-Geraten (6),.wobei alle diese Komponenten (2, 
4, 5, 6) Bestandteile einer einkanaligen Standard- 30 
-. r^.,v:. ^.^w. v..,SPS (1^ daB die SPS - - ^ - 

(1) durch nachsiehende ErgSnzungen zu einer si- 
cherheitsgerichteten SPS erttichtigt ist: 

a) an den E/A-Bus (5) sind spezielle sicher- 
heitsgerichtete E/A-GerSte (7) anschlieBbar, 35 
die intern zweikanalig aufgebaut sind und 
selbsttatig einen Vergieichstest zwischen ihren 
Kanalen sowie zusatzliche Eigentests durch- 
fiihren, und 

b) die Zentraleinheit (2) ist ailein durch sicher- 40 
heitsgerichtete ' Programm- Module erglnzt 
zur DurchfUhrung sicherheitsgerichteter 
Funktionen, die sich auf sicherheitsgerichtete 
Anwenderfunktionen und zumindest auf eine 
zur Eigenuberwachung der sicherheitsgerich- 45 
teten E/A-Gerate (7) redundante Oberwa- 
chung der sicherheitsgerichteten E/A-Gerate 
(7) beziehen. sowie auf eine Selbstflberwa- 
chung der Zentraleinheit (2). 

2. Speicherprogrammierbare Steuerung nach An- 50 
spruch 1. dadurch gekennzeichnet, daB die Zentral- 
einheit (2) eine Schnittstelle (8) aufweist, an die ein 
Personal Computer (3) anschlieBbar ist, mit dessen 
Hilfe. die im Anwenderprogramm der Zentralein- 
heit (2) enthaltenen sicherheitsgerichtete Pro- 55 
gramm-Module ladbar sind, die durch redundante, 
diversitare Programmierung gesichert sind. 

3. Speicherprogrammierbare Steuerung nach An- - - . 
spruch 1 Oder 2, dadurch gekennzeichnet, daB die 

sicherheitsgerichteten E/A-Gerate (7) Mittel ent- eo 
halten zur DurchfOhning von Plausibilitatstests. 

4. Speicherprogrammierbare Steuerung nach ei- 
nem der vorstehenden Anspriiche, dadurch ge- 
kennzeichnet, daB die Zentraleinheit (2) mit Hilfe 
der gespeicherten sicherheitsgerichteten Pro- es 
gramm-Module neben gefahrlichen Fehlem, die in- 
nerhalb einer spezifizierten Fehlertoleranzzeit zur 
Abschaltung in den sicheren Zustand fuhren, auch 
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einzeln an sich ungefahrliche Fehlern innerhalb ei- 
ner spezifizierten Zweitfehlereintrittszeit erkennt 
und meldet. 
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